API6: 2023 OWASP Acceso no restringido a Flujos de Negocio Sensibles Unrestricted Access to Sensitive Business Flows ¿Porqué esta vulnerabilidad? API OWASP 2021 UBICACIÓN 10 API OWASP 2023 Ranking OWASP TOP 10 MONITOREO Y REGISTRO INSUFICIENTE UBICACIÓN 6 ACCESO RESTRINGIDO A FLUJO DE NEGOCIO SENSIBLES Las APIs vulnerables a este riesgo exponen flujos de negocios, por ejemplo: Compra de boletos Publicación de comentarios Stock de inventarios, etc. Sin considerar como la funcionalidad podría perjudicar al negocio si se utiliza de manera excesiva por medio de procesos automatizados. ¿Cómo actúa el atacante? ¿Qué es un flujo y una amenaza automatizada? “Un flujo es una serie de solicitudes y respuestas que llevan a una operación” ABUSO – AMENAZA AUTOMATIZADA Limitar accesos a usuarios legítimos, spam para otros usuarios y agotando recursos como parte del flujo de negocios. Por ejemplo falta de stock de inventarios, agotando venta de entradas en línea, etc. Las amenazas automatizadas son ataques maliciosos que no son realizados por humanos quienes interactúan con una aplicación web o móvil, sino son efectuados por: Bots, scripts o herramientas de hackers, las cuales aprovechan las vulnerabilidades de las APIs Como actúa el atacante ANUNCIO: Gira “México Lindo y Querido” del grupo MANÁ – Abril 2024 Apertura de venta: Septiembre 2023 15:00 Compra todas las entradas manatour2024.com Otros ejemplos PROBLEMA 2: PROBLEMA 3: Publicaciones masivas de comentarios automatizados en una plataforma de redes sociales, afectando la experiencia del usuario y la calidad del contenido Automatización de consultas masivas en un servicio de búsqueda, sobrecargando el servidor y degradando su rendimiento RECOMENDACIONES: • Implementar mecanismos de detección de spam y moderación de contenido • Utilizar sistema de aprendizaje automático para identificar y bloquear publicaciones de comentarios automatizados • Establecer limites de frecuencia para la publicación de comentarios para evitar abuso RECOMENDACIONES: • Implementar límites de solicitud por usuario o IP para evitar consultas masivas y abusivas • Utilizar almacenamiento en caché y técnicas de optimización para reducir carga en el servidor • Monitorear el tráfico de la API y ajustar los límites de solicitud según sea lo necesario CONTROLAR PATRONES NO HUMANOS OWASP Automated Threats to Web Applications Este proyecto de OWASP nos ayuda a identificar amenazas automatizadas que van dirigidas a las API’s de las aplicaciones web y móviles. https://owasp.org/www-project-automated-threats-to-web-applications/ Proporciona 21 de controles y de seguridad identificados y que nos ayuda con recomendaciones de defensa contra estos ataques automatizados. 1: Agregación de cuentas 2: Creación de cuentas 3: Fraude publicitario 4: Omisión de CAPTCHA 5: Descifrado de tarjetas 6: Carding 7: Retirada de activos 8: Descrifado de credenciales 9: Cerdential Stuffing 10: Denegación de inventarios 11: Denegación de servicio (DoS) 12: Agilización 13: Toma de huellas dactilares 14: Toma de huellas 15: Acaparamiento de inventario (Scalping) 16: Scraping o raspado 17: Sesgo 18: Sniping 19: Envío de Spam 20: Descifrado de tokens 21: Exploración de vulnerabilidades GRACIAS GRACIAS POR SU POR SU ATENCION Hola Carlos Castro, URBANO ENVIOS te informa que tenemos una entrega para ti, correspondiente a Diners Club con número de guía 58489459. La dirección de entrega que tenemos registrada es Av. 10 de agosto N36-31 y Colón en la ciudad de Quito. Para el retiro en nuestra agencia marca 1 Para la entrega por uno de nuestros motorizados marca 2 ATENCIÓN